2017年6月初,思科宣布与IBM合作,将双方旗下的安全产品、服务以及威胁情报加以深度整合。而就在上周,思科CEO罗卓克在还与苹果CEO蒂姆·库克聊起了网络安全。
事实上,苹果和思科已达成合作伙伴关系,共同推动iOS设备安全向前发展。众所周知,思科是网络通信设备厂商,但实际上要从思科的网络安全业务收入规模来看,绝对称得上全球最大的安全公司之一。
一、思科的安全布局
了解业内情况的人都知道,许多大型企业客户都会使用从几种到几十种来自不同供应商的安全产品,客户面对的是一个非常繁杂的安全产品清单。这些产品都是单兵作战,无法互相配合、共同运作,这种碎片化的安全方案不可能实现有效的安全防护。而思科安全投入了大量的资金和安全研究人员,通过最佳的安全产品组合和安全产品的集成来解决安全有效性的问题。
因此,如果你对思科的印象主要是防火墙和IDS/IPS,那就有点局限于早期的思维定式中了。实际上思科产品线丰富多彩,云安全、终端安全、安全分析等,思科甚至大量投资网络安全服务,包括市场培育、思科认证互联网专家群培养,以及网络实际编程构建等方面,用以帮助受到网络安全人才短缺影响的客户。
自2012年以后,思科加大加快了对不同领域最佳安全产品的收购力度和节奏,全面布局最佳安全产品组合:
2013年,思科27亿美元收购网络安全公司Sourcefire;
2014年5月,思科宣布收购恶意软件和威胁情报公司ThreatGrid;
2014年12月,思科收购了安全咨询与服务公司Neohapsis;
2015年1月,思科以 4.53 亿美金收购网络安全公司 Lancope(Stealthwatch);
2015年6月,思科6.35亿美元收购在云安全与物联网方面有突出表现的OpenDNS(Umbrella);
2015年8月,思科收购了英国安全咨询服务公司Portcullis;
2016年6月,思科2.93亿美元收购云计算安全公司CloudLock……
从思科收购公司的类型中不难看出,思科对威胁情报分析、安全大数据、云安全、物联网安全、安全服务领域所进行的前瞻性的布局,对数字经济时代的综合威胁的前瞻立体防御。通过收购,思科不断将安全产业最先进的技术、最具潜力的人才和最具前瞻性的安全公司收入囊中。思科全球高级副总裁、安全事业部总经理尤岱伟(David Ulevitch),就是通过收购被吸纳进思科的安全人才。2015年思科收购OpenDNS,而尤岱伟正是OpenDNS的创始人。
二、以威胁防御为中心 让安全无处不在
思科安全解决方案的总体策略,就是着眼于“安全无处不在”的前提,建立一整套全新的防御架构。
安全防御不仅要覆盖企业网络的各个区域,更要覆盖整个攻击的周期,攻击前、攻击中、攻击后都要有应对的方法。以前大部分安全解决方案都过分集中在攻击前如何加固,并没有关注在攻击的过程当中和被攻击之后如何应对——这是因为过去威胁没有现在这么复杂。而现在,不仅再强的外围防御也会被攻破,而且移动互联和云计算也正令传统安全边界变得模糊,所以企业的安全关注点应该更多的放到如何应对以及如何去减少安全事件带来的负面影响上。
有效的防御必须有最好的“可视性(Visibility)”,必须要看见威胁,才能防御。具体说来,首先就是要了解具体有哪些新的威胁,然后做出有效防御;其次是内部架构可视性的提高,了解到底发生了什么事——这其实就是“知己知彼”的意思,可视性主要体现在网络层、内网和终端。
在网络层,思科的NGIPS在Gartner魔力象限报告里一直处于领导者象限。
Gartner IPS魔力象限
在内网,思科Stealthwatch能够利用 Netflow 和现有基础设施中的其他态势感知数据,以快捷高效的方式将整个网络转化为一个传感器网络。它通过基于行为的自动化学习和关联建模分析,能够快速检测各种异常流量和行为,包括零日恶意软件、分布式拒绝服务(DDoS)攻击、内部威胁和高级持久性威胁(APT)、以及网络分段访问违规等。
在终端,面向终端的思科高级恶意软件防护(AMP for endpoint)在2017年终端安全IDC Marketscape报告中荣膺“领导者”,这表明业界充分肯定了思科AMP高级恶意软件防护在攻击防御、检测和响应中的领先技术和卓越表现。
在威胁不断演变的今天,碎片化的安全解决方案并不能实现有效的安全,企业应该考虑采用最佳的产品组合和集成化安全架构方法,“集成架构”是利用安全产品结合在一起的协同效应,使整体解决方案的效果大于单一产品效果的简单叠加。思科的集成安全架构不只是思科产品的集成,而是生态链的集成,它包括安全事件、威胁情报、策略和情景信息的共享,从而达成有效安全,降低威胁检测和响应的时间。这也是思科安全区别于其它安全厂商的最大优势所在。
安全业务是思科增长最快的业务分支,特别是处于市场领导地位的思科Firepower下一代防火墙产品,占据了全球网络防火墙市场19%的份额并稳坐头把交椅。取得这样的成绩源自思科稳定的产品质量以及安全技术上的不断创新。今年6月份思科最新发布的新一代网络——网络.全智慧,可以实现持续地自我学习、自我调整和自我保护。即使威胁隐藏在加密流量中,也可以轻松实现检测和防御。在无需解密流量或破坏数据隐私的前提下,能够实现对加密流量进行准确性高达99%的威胁检测,同时实现低于0.01%的误报率。
相关阅读——在无需解密的情况下识别恶意软件:
http://www.cisco.com/c/zh_cn/products/security/stealthwatch/index.html
思科安全从最早的路由器安全、邮件安全开始,到网络安全、下一代入侵防御,再到如今的云安全、安全可视化、高级恶意软件防护,逐渐形成了非常广泛、可信的安全方案与用户的业务架构集成,并在数字经济大潮的推动下持续推动创新,提出以“威胁防御为中心”构建安全模型,和让“安全无处不在”的安全理念,让安全变得像万物互联一样普及,扩展到员工和数据所在的任何地方。
三、日分析160亿网站请求 最强安全大脑思科Talos
人们无法防护看不见的威胁,因此我们强调安全可视性的重要,而安全可视性则需要超越传统的跟踪和检测方法。很少有人了解思科Talos威胁情报团队,但是一提到Snort、ClamAV这些耳熟能详的开源工具和平台,许多业内人士就知道了。这些开源工具的作者正是出自思科Talos之手。同时,Talos还得到了Senderbase.org和Spamcop.net社区的庞大资源支持。不夸张的说,这个由超过250位安全研究人员组成的团队已经是目前全球最大的安全研究团队和分析威胁情报数量最多的组织。
Talos采用自动化安全大数据方法分析来自全球的邮件、网站和超过1亿5千万网络终端设备的威胁情报。每天可以分析全球1/3的邮件总量(6千亿封邮件/每天),每天可以分析超过150万独立恶意软件样本,每天收集大约160亿网站的请求。举一个形象的例子,Google 每天搜索量大约为35亿次,Talos收集分析的量是这个数字的4.5倍。
思科 Talos 威胁情报源
针对今年全球爆发的WannaCry勒索软件攻击事件,Talos 第一时间发布了应对方案和建议,部署思科安全方案的用户避免了勒索软件的威胁。其实Talos 早在2016年4月就发布了《勒索软件:过去、现在和未来》,对勒索软件的演变趋势进行了详尽描述,基于勒索软件的最新动态,指出了高效自我传播型恶意软件的特性,并极具前瞻性地对未来勒索软件提供了防御指导。
四、开放与合作
与其他安全厂商相比,思科安全拥有独特的优势,拥有众多的明星产品,产品之间可以实现优势互补、产生协同效应,使整体的解决方案安全防护效果倍增。尤其是基于思科Talos威胁情报团队所能发现的攻击途径数量以及强大的分析能力,思科能够识别出远超其他厂商的潜在威胁数量。
但即便如此,思科也不准备“单兵作战”,而是以开放的心态拥抱更多合作伙伴。更高层次的竞争不再是"单赢",而是"双赢"和"多赢"。从思科与IBM的强强联手合作中可以看出思科的这种转变。过去,通过策略、威胁情报、信息和日志的共享,思科把所有不同的安全平台整合到一套统一的解决方案上提供给客户。但是思科越来越重视“开放”。通过与业界合作伙伴构建的安全生态链,思科把安全覆盖范围扩大到其他第三方的产品,在第三方的解决方案上实现共享、威胁情报上传。
显而易见,为了服务于“全数字化转型”客户的安全需求,思科正在打造一个简单、可扩展、自动的网络安全新生态,最终帮助用户实现有效的安全。
安全牛评
思科是全球少数几家年营收上20亿美元的网络安全厂商,到2020年时这些厂商的年收入时均有望增长至50亿美元。
除了加密流量分析产品以外,思科还拥有一些少有人知的成功安全产品。比如,其面向终端的高级恶意软件防护(AMP for Endpoints),就是个远超用户预期的优秀产品。身份服务引擎(ISE)更是获得了2017 SC Magazine NAC最佳方案奖,更重要的是通过pxGrid 架构,思科可以实现自己安全产品之间以及与第三方安全技术的全面集成,在不同的产品和技术间分享告警和情景信息,支持实现全球化安全生态体系的建设。
相关阅读